racing cars on a track

Certifikovaná kybernetická bezpečnosť automobilov s ENX VCS

Holger Schmeken

Expert DQS pre informačnú bezpečnosť
okt 11 , 2024

Dnešné vozidlá sú počítače na kolesách, preto sú vystavené rizikám kybernetického útoku. V júli 2024 sa objavili nové predpisy, ktoré majú zabezpečiť komplexnú kybernetickú bezpečnosť automobilov v celom dodávateľskom reťazci automobilového priemyslu. Združenie ENX zverejnilo nový Audit kybernetickej bezpečnosti vozidiel (VCSA), ktorý má podporiť výrobcov OEM a dodávateľov pri implementácii nových požiadaviek.

Tento článok bol prvýkrát uverejnený v nemeckom časopise "QZ - Quality and Reliability", zv. 69 (2024)

Zoznam obsahu

people in a car driving down the road happily

Vďaka digitálnej transformácii sú vozidlá efektívnejšie a bezpečnejšie. Vďaka elektronickým riadiacim systémom a neustálemu prepájaniu do sietí sa stali aj terčom kybernetických zločincov. Kritické systémy môžu byť napadnuté, čo môže mať fatálne následky. Napriek najprísnejším normám pre vývoj softvéru
ani v letectve neexistuje záruka bezchybného softvéru.
Kontrola softvéru však umožňuje rýchlu reakciu na problémy s kvalitou - aktualizácie sa dnes môžu vykonávať vzduchom (OTA) prakticky cez noc.

Záväzné predpisy v oblasti kybernetickej bezpečnosti

S cieľom čeliť rastúcim kybernetickým hrozbám prijala EHK OSN R 155 a 156, ktoré zahŕňajú zavedenie systému riadenia kybernetickej bezpečnosti (CSMS), resp. systému riadenia aktualizácií softvéru (SUMS). Cieľom týchto predpisov je zabezpečiť kybernetickú bezpečnosť počas celého životného cyklu modelu a v celom dodávateľskom reťazci. V EÚ sú tieto predpisy povinné pre všetky novo vyrobené vozidlá od júla 2024.

ENX VCS - celosvetový program auditu pre ISO/SAE 21434

V rámci normy ISO/SAE 21434 (Cestné vozidlá - kybernetická bezpečnosť techniky) sa v priebehu platnosti predpisov OSN uskutočnil pokus o vytvorenie usmernenia a dôkazu o zhode pre dodržiavanie predpisov. V praxi sa však ukázalo, že príslušné programy auditu poskytovateľov skúšobných služieb sa príliš líšia - napriek špecifikáciám normy ISO/PAS 5112. Výrobcovia preto stále nemali možnosť poskytnúť zákonodarcovi spoľahlivé a porovnateľné dôkazy o zhode svojich dodávateľov - tí zasa mali problémy s preukazovaním zhody so zmluvnými ustanoveniami na základe porovnateľného testovacieho základu.

Preto združenie ENX (združenie európskych výrobcov automobilov, dodávateľov a združení) navrhlo program auditu ENX VCS. ENX VCS vykonáva audit implementácie systémov riadenia kybernetickej bezpečnosti vozidiel (VCSMS) v súlade s normami ISO 21434 a ISO 5112. Jeho rozhodujúca výhoda: audit VCS je celosvetovo štandardizovaný a dá sa rýchlejšie prispôsobiť novým výzvam ako norma ISO. Skupina medzinárodných odborníkov pravidelne reviduje program auditu, aby bol stále aktuálny.

 

Ste pripravení na ENX VCS?

Prečítajte si všetko o procese ENX VCS a predpokladoch pre získanie značky VCS.

Get your VCS label here!

Štandardizované audity - porovnateľné výsledky

Vďaka štandardizovanému auditu ENX VCS sa spoločnosti vyhnú zbytočným, v neposlednom rade finančným výdavkom, ktoré môžu vzniknúť v dôsledku viacúrovňových procesov auditu a rozdielnych auditov. Aby sa zabezpečili globálne porovnateľné procesy u všetkých poskytovateľov auditu, spoločnosť ENX pri spustení programu zverejnila aj špecifické kritériá a požiadavky na poskytovateľov auditu (ACAR VCS) a záväzný katalóg auditov pre audity kybernetickej bezpečnosti vozidiel (VCSA). Tie definujú rad povinných kompetencií a záväzný procesný model pre audítorov VCS - okrem organizačného auditu predpisov V-CSMS napríklad aj povinný audit dokumentov a procesov - a tvorbu rizikovo orientovanej náhodnej vzorky všetkých projektov relevantných z hľadiska kybernetickej bezpečnosti. Inžinierske tímy zodpovedné za projekty vo vzorke potom absolvujú rozhovory s audítormi a expertmi. Výsledky práce tímu sa preskúmajú, aby sa zabezpečilo, že V-CSMS sa skutočne používa v praxi. Po úspešnom ukončení testu môžu spoločnosti požiadať ENX o pridelenie príslušnej značky VCS a sprístupniť ju záujemcom prostredníctvom výmenného mechanizmu ENX.

TISAX® a VCS pracujú v tandeme

Štrukturálne sú audity VCS s ACAR VCS založené na zavedenom automobilovom štandarde TISAX®. Tieto dva mechanizmy auditu sa navzájom dopĺňajú: zatiaľ čo TISAX® hodnotí bezpečnosť informácií v spoločnosti, značka VCS potvrdzuje kybernetickú bezpečnosť komponentov vozidla. Podobne ako v prípade TISAX® audit VCS zohľadňuje rôzne úlohy dodávateľov pri poskytovaní kyberneticky relevantných komponentov. Každý dodávateľ preto musí spĺňať len tie požiadavky katalógu auditu VCSA, ktoré zodpovedajú jeho skutočnej, špecifickej úlohe. Rozlišuje sa medzi rôznymi označeniami:

  • Vývoj VCS: Spoločnosť vykonáva bezpečný vývoj komponentov VCS - od integrácie. Proces integrácie systému do všeobecnej bezpečnostnej architektúry až po bezpečnú implementáciu a bezpečný prechod do výroby.
  • Výroba VCS: Spoločnosť vyrába komponenty VCS a zabezpečuje ich bezpečnú konfiguráciu a softvérové vybavenie.
  • Prevádzka a údržba VCS: Spoločnosti sú zverené údaje zo záznamov z vozového parku, ktoré umožňujú identifikovať problematické prevádzkové stavy alebo identifikovať konkrétne bezpečnostné incidenty. Toto označenie je vhodné aj pre spoločnosti, ktoré potrebujú udržiavať svoje komponenty VCS v aktuálnom stave.
Description of the various standards for cyber security throughout a vehicle's lifecycle

Dôkaz o zhode podľa ENX VCS

V rámci auditu VCS si môžu výrobcovia OEM a dodávatelia nechať skontrolovať svoj systém V-CSMS od schválených poskytovateľov auditu a získať od spoločnosti ENX štítok VCS, ktorý je platný tri roky. Zvýšená globálna porovnateľnosť nových značiek posilňuje dôveru v zhodu V-CSMS so špecifikáciami kybernetickej bezpečnosti EHK OSN R 155, čo umožňuje spoločnostiam jasne preukázať svoju zhodu orgánom a obchodným partnerom a prispieť ku komplexnej kybernetickej bezpečnosti automobilov. V tejto oblasti sa oplatí konať rýchlo: V úvodnej fáze je registrácia na audit ENX VCS bezplatná.

DQS - Jednoduché využitie bezpečnosti

Spoločnosť DQS bola založená v roku 1985 ako prvý certifikačný orgán v Nemecku. Odvtedy patríme medzi popredných svetových odborníkov na audit a certifikáciu. Zakladajúci partneri DGQ (Deutsche Gesellschaft für Qualität e. V.) a DIN (Deutsches Institut für Normung e. V.) sú dôležitými partnermi pre školenia a ďalšie vzdelávanie, ako aj normalizačnú činnosť.

Aktívne sa zapájame do činnosti výborov a orgánov v mene našich klientov a prispievame svojimi odbornými znalosťami k našim auditom. Naše tvrdenie sa začína tam, kde sa končia kontrolné zoznamy auditu. 

Dôvera a odborné znalosti

Naše texty a brožúry píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu textov alebo našich služieb nášmu autorovi, tešíme sa na vašu odpoveď.

Zdroj: www.qz-online.de (popredné nemecké periodikum pre manažérstvo kvality).

Autor

Holger Schmeken

Produktový manažér a expert na informačnú bezpečnosť a vývoj softvéru. Holger Schmeken prispieva svojimi odbornými znalosťami aj ako audítor pre ISO 27001 s kompetenciou pre audítorské postupy KRITIS.

Relevantné články a udalosti

Možno vás bude zaujímať aj toto
Blog

Krízová komunikácia počas útoku ransomvéru: Správa informácií v núdzovej situácii

Prečíta­jte si viac
Blog

DTNA požaduje od dodávateľov štítky TISAX®

Prečíta­jte si viac
Blog

Odomknutie dôveryhodnej umelej inteligencie: Čo potrebujete vedieť o certifikácii ISO/IEC 42001

Prečíta­jte si viac